Una vulnerabilitat que afecta a iOS 13.3.1 i posterior impedeix que les xarxes privades virtuals (VPN) xifrin tot el trànsit, permetent que algunes connexions a Internet passin per alt l'encriptació, exposant potencialment les dades i les adreces IP dels usuaris.
Una captura de pantalla de ProtonVPN que demostra connexions exposades als servidors d'Apple que haurien d'estar protegides per la VPN
Els detalls sobre la vulnerabilitat han estat compartits avui per Bleeping Ordinador després que fos descobert per ProtonVPN. La vulnerabilitat es deu al fet que iOS no està acabant totes les connexions existents quan un usuari es connecta a una VPN, cosa que els permet tornar a connectar-se als servidors de destinació un cop establert el túnel VPN.
Les connexions realitzades després de connectar-se a una VPN en un iOS no es veuen afectades per aquest error, però totes les connexions establertes anteriorment no són segures. Això podria provocar que un usuari que creu que està protegit exposi accidentalment una adreça IP i, per tant, una ubicació aproximada.
Les notificacions push d'Apple es citen com a exemple d'un procés que utilitza connexions als servidors d'Apple que no es tanquen automàticament quan es connecta a una VPN, però pot afectar qualsevol aplicació o servei que s'executi al dispositiu d'un usuari.
Les VPN no poden solucionar el problema perquè iOS no permet que les aplicacions VPN eliminen les connexions de xarxa existents, de manera que aquesta és una solució que haurà d'implementar Apple. Apple és conscient de la vulnerabilitat i està buscant opcions per mitigar-la.
Fins que no es solucioni, els usuaris de VPN es poden connectar a un servidor VPN, activar el mode avió i després desactivar el mode avió per eliminar totes les connexions existents. Tanmateix, la mitigació no és del tot fiable iPhone i iPad Els propietaris que confien en VPN haurien de tenir cura fins que Apple no solucioni.
Entrades Populars